（通信与信息系统专业论文）ims网络dns欺骗防御方法研究与实现.pdf

中文摘要 摘要：i m s 网络已经成为了业界对于固定移动网络融合的共识，在现有通信网络 引入开放的i p 网体系结构带来便利接入和丰富服务的同时，目前互联网中存在的 安全问题也对i m s 网络构成了严重威胁。d n s 系统作为联系整个网络的纽带，其 安全性直接决定着整个网络的安全性，因此在i m s 网络中对d n s 系统的安全防护 尤为重要。 本文在前人对d n s 欺骗攻击防御及i m s 网络安全机制研究的基础上，对i m s 网络所提供安全基础结构和存在的安全隐患进行了深入的分析，结合混沌的伪随 机性、对初值的敏感性和同步原理，提出一套i m s 网络d n s 欺骗防御新方案，利 用i m sa k a 和域间认证使用的密钥管理机制产生混沌加密参数和调制参数，使用 h e n o n 二维离散混沌系统对d n s 查询请求响应报文的序号进行加密迭代计算， 能够防御现有网络技术条件下的d n s 欺骗攻击以及重放攻击等对d n s 查询过程 的攻击，并在d n s 服务器上设计序列缓存表用于存储i m s 客户端和其他d n s 服 务器的混沌参数及迭代值，缩短了d n s 欺骗防御新方案的处理延时。该方案的安 全性依赖于攻破所选用混沌算法的复杂度，所占用的存储空间在一般d n s 服务器 可以承受的范围之内，不需要产生额外的网络流量，不会为域名系统引入新的安 全问题。 通过在l i n u x 环境下使用标准c 语言编程实现d n s 欺骗防御新方案设计的数 据结构，以及加密迭代计算、查询消息处理和序列缓存表维护等功能模块，并在 i m s 网络环境中部署本方案，验证了d n s 欺骗防御新方案的正确性和有效性。测 试结果表明该方案能够有效防御d n s 欺骗攻击，而且具有较低的处理延时和高可 靠性。在实验结果的研究中发现还可以对该方案的处理延时进一步优化。 本方案的成功实施，为i m s 网络的测试和研究提供了一个实验平台，并且有 望为i m s 网络安全问题的解决提供新的思路。 关键词：i m s ；d n s 欺骗；h e n o n 混沌；安全 分类号：t n 9 1 5 0 5 a b s t r a c t a b s t r a c t ：a si m sb e c o m e st h ec o n s e n s u so ft h ef i x e d m o b i l ec o n v e r g e n c e ， c u r r e n ts e c u r i t yp r o b l e m si nt h ei n t e r n e tb r i n gs t r o n gt h r e a t st oi m s ，w h i l et h eo p e ni p n e t w o r ka r c h i t e c t u r eg i v e sc o m m u n i c a t i o nn e t w o r kc o n v e n i e n ta c c e s sa n da b u n d a n c eo f s e r v i c e b e h a v i n ga st h e1 i n ko ft h en e t w o r k ，t h es e c u r i t yo fd n sd i r e c t l yd e t e r m i n e s t h a to ft h ee n t i r en e t w o r k ，s oi ti sc r u c i a lt op r o t e c tt h ed n s i ni m s o nt h eb a s i so ff o r m e rr e s e a r c h e r sw o r ko nt h ed e f e n c eo fd n s 1 1 i i a c k i n ga n di m s s e c u r i t ym e c h a n i s m ，t h i sp a p e ra n a l y z e st h es e c u r ea r c h i t e c u r eg i v e nb yi m sa n d p o t e n t i a ls e c u r i t yp r o b l e m s i n i m s ，i n t e g r a t e sd i s p e r s ec h a o sm o d e la n dt h e s y n c h r o n i z a t i o np r i n c i p a lo fc h a o s ，a n dd e s i g nan e wp r o p o s a lt od e f e n s ea g a i n s td n s h i j a c k i n gi n i m s t h en e wp r o p o s a lm a k e su s eo fi m sa k a a n di n t e r - d o m a i n a u t h e n t i c a t i o nk e y st og e n e r a t ec h a o se n e r y p t i o np a r a m e t e r s ，c a l c u l a t e st h ei do fd n s q u e r yr e p l ya n dr e s p o n s ep a c k e t sb yh e n o nt w o - d i m e n s i o nc h a o ss y s t e m ，a n dd e s i g n sa s e r i a ln u m b e rd e p o s i tt a b l eo nt h ed n ss e r v e rt os t o r er e l a t e dc h a o sp a r a m e t e r so fi m s c l i e n t sa n do t h e rd n s s e r v e r s ，i no r d e rt or e d u c et h ed e l a yc a u s e db yt h en e w p r o p o s a l t h es e c u r i t yo fn e w p r o p o s a lr e l i e so nt h ed i f f i c u l t yt ob r e a kd o w nt h ec h o s e nc h a o s a l g o r i t h m t h eo c c u p i e dm e m o r ys p a c el i m i t sw i t h i nt h er a n g eo fac o m m o nd n s s e r v e r a l s ot h en e wp r o p o s a lw i l ln o tb r i n ga d d i t i o n a lc o m m u n i c a t i o nf l o w si nt h e n e t w o r k ，a n dw i l ln o tb r i n gn e ws e c u r i t yp r o b l e m st od n s t h en e w p r o p o s a li sp r o o f e dt ob ee f f e c t i v et od e f e n s ed n sh i j a c k i n ga t t a c k sw i t h l o wd e l a yb yb e i n gc o d e dw i t hs t a n d a r dc l a n g u a g ei nl i n u xd e v e l o pe n v i r o n m e n ta n d d e p l o y e di nt h ei m st e s tb e d t h ed e l a yo ft h ep r o p o s a li sf o u n dt oh a v eo p t i m i z m i o n p o t e n t i a li nt h ea n a l y s i so ft h et e s tr e s u l t t h es u c c e s s f u li m p l e m e n t a t i o no ft h en e wp r o p o s a lb u i l d sat e s tb e df o rt h ei m s r e s e a r c h ，a n db r i n g so u tn e wt h o u g h t st os o l v eo t h e rs e c u r i t yp r o b l e m si ni m s k e y w o r d s ：i m s ；d n sh i j a c k i n g ；h e n o nc h a o s ；s e c u r i t y c l a s s n o ：t n 9 l5 0 5 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名： 新趣 签字日期： 1 。? 年月i e l 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。 同意学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： m 彳通 导师签名： 签字e t 期：年月日签字日期： 年月日 致谢 本论文是在我的导师朱刚教授的悉心指导下完成的，论文的每一步工作都倾 注着导师的心血。朱老师作为通信领域知名的专家教授，对科学技术的发展方向 有着很准确的预测和把握。朱老师严谨的治学态度和求实的科学精神将使我终生 受益，更重要的是朱老师还教会了我许多做人的道理，使我树立正确的科学观和 人生观，踏实奋斗自己的人生。藉此论文完成之际，谨向培育我的导师表示诚挚 的感谢和崇高的敬意! 现代通信研究所的李旭老师、吴昊老师、姚冬苹老师、金晓军老师、许荣涛 老师、何建军老师和i p 实验室的张思东老师在我学习期间给予我的热心帮助，对 我在实验室的学习和科研给予了极大的支持，他们孜孜不倦、尽心尽力的敬业精 神时刻影响着我，在此表示衷心的谢意! 感谢和我一起学习和工作过的逯静辉博士，刘秋妍博士，林思雨博士，以及 王九九，宋志刚，烟翔，张敏，张丽佳，王宇，刘文娟，张少伟，谭蔚翔等硕士 在生活上给予我的帮助以及学业上的切磋和指点，在此向他们表达我的感激之情! 最后特别感谢我家人，你们的支持和鼓励让我不断进取，我的每一个进步， 都凝刻着你们无私的支持和关爱! 你们是我前进的力量源泉! 1 引言 1 1选题背景及意义 固定和移动通信网络在过去的2 0 多年里经历了巨大的转变。在移动领域中， 二十世纪八十年代中期的第一代( f i r s tg e n e r a t i o n ，1 g ) 移动通信系统为用户提供 了以语音及语音相关业务为主的基本业务。第二代( s e c o n dg e n e r a t i o n ，2 g ) 移动 通信系统在二十世纪九十年代引入并已得到广泛应用，这些网络为用户带来了一 些数据业务和更复杂的辅助业务。现在的第三代( t h i r dg e n e r a t i o n ，3 g ) 移动通 信系统使得为用户提供更快的数据传输速率和更加丰富多彩的多媒体业务成为可 能。在固网通信方面，传统的公共交换电话网( p u b l i cs w i t c h e dt e l e p h o n en e t w o r k ， p s t n ) 和综合业务数字网( i n t e g r a t e ds e r v i c e sd i g i t a ln e t w o r k ，i s d n ) 已经主宰 了传统话音和视频通信。近几年，因特网的使用量呈爆炸态势增长，越来越多的 用户使用更快、更便宜的因特网连接，如非对称数字用户线( a s y m m e t r i cd i g i 【t a l s u b s c r i b e rl i n e ，a d s l ) 等。固定和移动通信网络与因特网是目前最成功和最有 发展潜力的信息网络，而它们承载着种类繁多但彼此孤立的业务，用户需要通过 不同的终端和协议来使用这些业务，极为不便。具有业务与网络分离特性的p 技 术的出现促成了固定通信网和互联网的融合，同时也给人们带来了许多新鲜的数 据业务体验，但是移动通信与固定通信之间的融合却存在很大的难度。关注于无 线分组传输能力的2 5 代移动通信和第3 代的早期版本，并没有真正带来移动通信 的革命性变化。人们使用移动业务的方式没有发生根本改变，耗费巨资购建的移 动分组传输能力受制于数据业务的发展步伐而难以发挥其最大价值。 第三代移动通信伙伴计划( 3 r dg e n e r a t i o np a r t n e r s h i pv r o j e c t ，3 g p p ) r e l e a s e5 版本开始定义的m 多媒体子系统( i pm u l t i m e d i as u b s y s t e m ，i m s ) ，是将i p 技术 与移动通信深度融合的产物，有望彻底改变这种局面 1 】。i m s 吸取了目前基于软 交换的下一代网络( n e x tg e n e r a t i o nn e t w o r k ，n g n ) 网络在业务开展中的问题， 以及移动网络对漫游处理的机制，发展出一套更合理的，能真正满足开放性、多 类业务融合和可管性的网络架构。它充分利用了口网络的低成本、高宽带利用率 和快速提供服务的特性，可以在i p 网络上灵活部署业务，并实现业务间的协作， 发展融合业务。深刻体现“业务与接入分离”思想的i m s 技术已经成为了业界对 于固定移动融合( f i x e d m o b i l ec o n v e r g e n c e ，f m c ) 的共识。 然而，i m s 网络大量采用标准的网络协议和分布控制技术，再加上i p 协议存 在着固有的缺陷和安全漏洞，使移动通信网络引入i m s 架构后，面临着与因特网 同样的安全威胁。另外，i m s 对开放性接入的支持也对其网络安全提出了挑战。 随着多媒体业务、电子商务、网上银行等交互式和分布式信息服务的蓬勃开展， 各种机密性、敏感性、隐私性数据的传输会大大增加，这对i m s 网络的安全性提 出了更高的要求。如何保证用户安全地使用网络，保证网络的可靠部署进而走向 商用，成为i m s 网络研究中的一个关键问题。 域名系统( d o m a i nn a m es y s t e m ，d n s ) 是基于t c p i p 协议的因特网和口 多媒体子系统中的重要基础设施【2 ，3 】，其主要作用是将易于记忆的主机名称映射为 枯燥难记的i p 地址，是各种网络应用( 如电子邮件、网页浏览、t d n e t 等) 的正 常运行的前提和保障。作为全球最大也是最为成功的分布式系统，其效率和普及 程度是其他服务无法比拟的。近2 0 年来，d n s 服务发展迅速，其注册规模越来越 大，管理难度也急剧增加。据统计 4 】，1 9 8 7 年全球d n s 注册主机数仅有2 0 ，0 0 0 条，但截止到2 0 0 8 年7 月已增加到了5 7 0 ，9 3 7 ，7 7 8 条，其增长速度呈现出高速发 展的势头，从1 9 9 4 年1 月到2 0 0 9 年1 月的增长情况如图1 1 所示。而d n s 作为 i n t e m e t 的早期协议，从一开始就被认为是一个完全开放的协作体系，其中存在的 各类数据从未进行加密，没有提供适当的信息保护和认证机制，也没有对各种查 询进行准确的识别，同时基础设施、骨干设备的安全性也没有得到足够的重视， 使得d n s 很容易遭受攻击。2 0 0 8 年，在美国已经有9 , 9 0 0 ，0 0 0 人受到d n s 欺骗攻 击，造成损失达4 8 0 亿美元【5 】。d n s 欺骗在i p 多媒体子系统中仍将构成严重的安 全威胁。 7 0 0 ，0 0 0 ，0 0 0 6 0 0 ，0 0 仉叩0 5 0 0 ，0 0 0 ，0 0 0 4 0 0 ，0 0 0 ，0 0 0 3 0 0 ，0 0 0 ，1 3 0 0 2 0 0 ，0 0 0 ，0 0 0 1 00 ，0 0 0 ，0 0 0 0 可t t 9卜口t - -n n可t t 3i - o卜 毛薯暑暑毛薯薯毛暑暑 暑暑 薯暑薯 cc亡eccc乞cc乞cc与c a刁刁ada妇日刁日习 刁刁 0日日 - 1 1 11 11 s o u r c e ：i n t e m e t $ 1 0 # t e m sc o n s o r t i u mi 憎w _ i # c o r g l 图1 1d n s 注册主机增长图 f i g 1 1i n t e m e td o m a i ns u r v e yh o s tc o u n t 2 1 2国内外研究现状 1 2 1i m s 安全标准化 国际上关于i m s 的研究主要集中在3 g p p 、3 g p p 2 和e t s it i s p a n ( e u r o p e a n t e l e c o m m u n i c a t i o n ss t a n d a r d si n s t i t u t e ，欧洲电信标准协会) ( t e l e c o m m u n i c a t i o n s a n di n t e r n e tc o n v e r g e ds e r v i c e sa n dp r o t o c o l sf o ra d v a n c e dn e t w o r k i n g ，电信和互联 网融合业务及高级网络协议组) 等几个标准组织。3 g p p 和3 g p p 2 对i m s 网络的 安全机制都有专门的标准 6 ，7 】，引入了相对安全的传统电信网络的体系架构，这为 d n s 欺骗等网络攻击的防御提供了良好的基础。 l 、3 g p p 自r 5 提出i m s 概念以后，又经历了r 6 和r 7 两个版本。其中，r 5 于2 0 0 2 年6 月完成，在3 g p p t s3 3 2 0 3 标准中规定了i m s 接入网络的安全机制 6 】，在3 g p p t s3 3 2 1 0 标准中规定了i m s 核心网络的安全机制【7 】，定义了用户和网络之间进行 鉴权的认证和密钥协商协议( a u t h e n t i c a t i o na n dk e y a g r e e m e n t ，a k a ) 、用户终端 和i m s 网络之间会话发起协议( s e s s i o ni n i t i a t i o np r o t o c o l ，s i p ) 的消息完成性保 护。r 6 于2 0 0 5 年3 月完成，引入了s i p 消息的机密性保护、基于i p 地址的认证 和通用认证体系。r 7 于2 0 0 7 年1 2 月完成，增加了安全传输层协议( t r a n s p o r tl a y e r s e c u r i t yp r o t o c o l ，t l s ) 支持。 2 、3 g p p 2 与3 g p p 的i m s 相对应，3 g p p 2 定义了多媒体域( m u l t i m e d i ad o m a i n ，m m d ) 规范，目前已有3 个版本，分别是r e v 0 、r e v a 和r e v b 。3 g p p 2 已经发布的i m s 安全规范是s s 0 0 8 6 ：i m s 安全框架。s s 0 0 8 6 主要参考3 g p pt s3 3 2 0 3 和3 g p pt s 3 3 2 1 0 ，包括了i m s 接入网和网络域的安全。己发布的最新版本r e vb 和3 g p p 的r 6 相对应，在网络结构、接口、业务功能和呼叫流程等方面都有很大的相似性， 但也存在一定程度的不同。如其中网络实体归属用户服务器( h o m es u b s c r i b e r s e r v e r ，h s s ) 的演进不同，导致功能有所差异，3 g p p 的h s s 兼有归属位置寄存 器( h o m el o c a t i o nr e g i s t e r ，h l r ) 与认证授权计费( a u t h e n t i c a t i o na u t h o r i z a t i o n a c c o u n t i n g ，a a a ) 功能，而3 g p p 2 的h s s 不包含a a a 功能。 3 、中国国内标准化情况 中国国内对于i m s 、n g n 及相关技术的研究已经有很长时间，制定国内行业 标准的中国通信标准化协会( c h i n ac o m m u n i c a t i o n ss t a n d a r d sa s s o c i a t i o n ，c c s a ) 从2 0 0 3 年就开始进行i m s 的技术交流和研讨。目前，c c s a 关于i m s 的研究主要 集中在t c 5w g 9 、t c 5 w g 4 、t c 3w g l 这3 个工作组，分别对口3 g p p 、3 g p p 2 和t i s p a n 的标准研究工作。t c 5w g 5 负责i m s 安全方面的标准，已经参考3 g p p 和3 g p p 2 的相关规范制定了相应的行标：t d s c d m a m ，c d m ai p 多媒体子系统 安全技术要求和c d m a 2 0 0 0i p 多媒体子系统安全技术要求，另外w g 5 还会根据 3 g p p 和3 g p p 2 的不同版本更新行标的版本。 综上所述，i m s 的标准化发展已相对成熟，其安全部分保证了无线接入网与 i m s 之间建立信任关系。然而当用户通过因特网接入时，核心网将面对一个全开 放的口网络，面临的也将是因特网同样的安全问题。在这种情况下，目前的i m s 安全机制在实际应用中将不能适应新的安全需求。 1 2 2因特网d n s 安全性 一直以来，很多学者和研究机构都在探讨d n s 安全性问题，对于d n s 协议 的安全缺陷提出了一些解决方案。1 9 9 7 年1 月，i e t f 域名系统安全工作组提出 d n s 安全扩展协议( d n ss e c u r i t y ，d n s s e c ) 来加强对d n s 基础设施的安全性 8 】。d n s s e c 在兼容现有协议的基础上引入公钥加密认证体系，通过事务签名和 区签名来提供端到端的数据真实性和完整性保护。但是d n s s e c 在密钥管理、系 统效率等方面还存在一定的问题 9 】，使得d n s s e c 的大规模普及和应用任重道远。 为解决d n s s e c 中存在的问题，很多研究者进行了有益的尝试。c a c h i n 等人 【1 0 通过门限加密方法来分布式存储密钥，使得密钥在线存储和签署成为可能。使 用原子广播协议对域名服务器进行安全复制，克服了域名服务器的单点失效问题， 具有较强的可生存性。但是其通信协议比较复杂，也没有考虑缓存的情况。并且 延迟较大，很难在实际环境中应用。a t e n i s e s 等人 1 1 提出用对称加密机制来管理 d n s s e c 中的密钥，不仅改善了d n s s e c 的性能，而且可以提供必要的数据机密 性，抵御重放攻击。此外，对称加密机制也提供互相认证，使得控n y j 表和一致 性检验切实可行。但是对称加密要求每一对通信实体要共享一个会话密钥，导致 服务器负载过重。 在网络传输方面f e t z e r 等人 1 2 1 提出用安全套接层( s e c u r es o c k e t sl a y e r ，s s l ) 协议来改进目前d n s 的安全状况，增强基础设施的可信任性。通过在客户和服务 器之间架设可信代理来完成认证工作，对现有的客户端和服务器完全透明。并且 使用现有s s l 的认证授权( c e r t i f i c a t e a u t h o r i t y ，c a ) 基础设施，以致代价很小。 此外，由于s s l 可以单独配置，因此需要进行安全加固的实体可以独立部署而不 依赖于其它实体，从而保证了配置的顺利实施。这种方案的缺点在于s s l 协议是 面向连接的，建立在t c p 协议栈之上，因此不适合保护d n s 中广泛使用的u d p 通信数据。而且每个客户和服务器之间都要搭建隧道，负载较大。 4 在下一代互联网( n e x tg e n e r a t i o ni n t e r n e t ，n g i ) 领域的研究中，d m a z i e r e s 等人 1 3 1 提出了自验证标识的使用，即标识的公私密钥对与其公钥的哈希( h a s h ) 值相对应。这种标识的好处在于主机可以在不必引入任何第三方组织的情况下验 证其他终端的真实性。与i p 地址的不同是，标识作为公钥的哈希值是扁平无结构 化的。主机标识协议( h o s ti d e n t i t yp r o t o c o l ，h i p ) 1 4 】中的主机标识符实际上就 是一种自验证标识。i s t o i c a 等人 1 5 】在扁平标识符路由( r o u t i n go nf l a tl a b e l s ， r o f l ) 中解决了扁平标识如何进行路由的问题。最近，a n d e r s e n 等人 1 6 提出了 互联网责任协议( a c c o u n t a b l ei n t e m e tp r o t o c o l ，a l p ) ，其中基础路由实体被称作 责任域( a c c o u n t a b i l i t yd o m m n ，a d ) ，类似现有因特网中的自治域( a u t o n o m o u s s y s t e m ，a s ) 1 7 】。a l p 为每个a d 分配一个1 6 0 比特的自验证a d 地址，并使用 a d 地址作为路由对象，即a l p 存在a d 颗粒度的域内路由。与当今因特网相同， a l p 使用边界网关协议( b o r d e rg a t e w a yp r o t o c o l ，b g p ) 通告a d 地址可达性信 息，并且路由器维护基于每个责任域的路由信息，例如a l p 路由表将a d 地址映 射到下一跳位置。由于采用了自验证标识，a i p 大大简化了如s e c u r e b g p 等安全 机制的使用。但是这种方法引入的标识自验证过程会带来d n s 查询的时延，并可 能成为拒绝服务( d e n yo f s e r v i c e ，d o s ) 等其他网络攻击的对象。 同时，近几年密码学领域的研究进展对网络安全机制的设计产生了直接的影 响。王小云教授在2 0 0 4 年的国际密码学会议( c r y p t o 2 0 0 4 ) 上宣布了她的研究小 组近年来关于利用杂凑函数对m d 4 、m d 5 1 8 等h a s h 函数算法的碰撞攻击的研究 成果 1 9 】。2 0 0 5 年8 月，王小云和图灵奖得主姚期智联手于国际密码讨论年会提出 s h a 1 函数 2 0 1 杂凑冲撞算法的改良版。随着s h a 1 破译技术的明朗化，国际密 码学家以及信息安全专家意识到s h a 1 的破译及将带来的潜在危机，并进一步研 究基于离散对数的椭圆密码体f l ；l j 2 1 、基于多项式分解的n t r u 、基于量子理论的 量子密码体f l ；1 2 2 2 3 等新的密码体制。 1 3论文主要工作及结构 论文的主要工作是对d n s 欺骗工作原理和i m s 网络及其安全机制进行了全 面、深入地研究分析，设计了基于混沌理论的d n s 欺骗防御新方案，阅读并分析 了大量关于i m s 网络域名系统的源代码，并在此基础上实现了d n s 欺骗防御新方 案，最后对整个系统进行全面测试。所涉及的内容包括： ( 1 ) 研究和分析d n s 欺骗原理及现有d n s 欺骗检测和防范方法，i m s 网络结构、 接入网和网络域安全机制及存在的安全问题； ( 2 ) 深入研究离散混沌的系统模型、同步原理和在混沌通信中的应用，在此基础 5 上，针对d n s 欺骗特点并结合i m s 网络环境及其接入网和网络域的安全机 制，设计d n s 欺骗防御新方案，对该方案的安全性和处理时延、占用内存空 间等性能进行深入详尽的分析； ( 3 ) 在阅读分析i m s 网络域名系统源代码的基础上，在用户终端和d n s 服务器 上实现共享密钥提取、混沌加密算法、加密消息处理及与其他功能实体通信 等功能； ( 4 ) 搭建i m s 网络平台，配置d n s 服务器、数据库、用户文件等，实现一次基 本的i m s 网络通话，在此平台上对d n s 欺骗防御新方案进行功能和性能测 试； ( 5 ) 对论文的主要工作进行总结，分析了论文所实现的d n s 欺骗防御方案的不 足，明确了下一步工作的方向。 论文的结构安排如下： 第一章阐述了本论文的研究背景和意义，列出了论文的主要工作和组织结构。 第二章介绍了d n s 欺骗原理及i m s 网络基本概念。 第三章设计了基于混沌算法的d n s 欺骗防御新方案。 第四章详细阐述了d n s 欺骗防御新方案的原型实现，包括各个模块的功能以 及工作流程。搭建了i m s 网络测试平台，并详细描述了d n s 欺骗防御新方案的测 试结果。 第五章对论文工作进行总结，对d n s 欺骗防御新方案的改进方法及推广进行 探讨。 6 j s 噩至堂厶芏熊芏拉垃童旦班s 熟强厘理生l 丛s 窒全世垃垃 2d n s 欺骗原理与i m s 安全性分析 21d n s 欺骗 d n s 是一个用于管理主机名字和地址信息映射的分布式数据库系统，它将便于 记忆和理解的名称同枯燥的i p 地址联系起柬，大大方便了人们的使用，d n s 是大 部分网络应用的基础，但是由于协议本身的设计缺陷，没有提供适当的信息保护 和认证机制，使得d n s 很容易受到攻击。 2 1 1d n s 欺骗攻击 d n s 欺骗攻击利用了d n s 协议在设计上的缺陷 2 9 ，在d n s 报文中只使用一 个序列号柬进行有效性鉴别，并未提供其它的认证和保护手段这使得攻击者可 以很容易地监听到查询请求，并伪造d n s 应答包给d n s 客户端，从而进行d n s 欺 骗攻击。d n s 欺骗攻击可能存在于客户端和i ) n s 服务器间，也可能存在于备d n s 服 务器之问，其工作原理是一致的，如图所示，以w wh i te d u c n 为例，假设伪造 i p 为1234 ，具体的欺骗过程如下，如图21 所示： 妙一 幽21d n s 欺骗攻击示意幽 f i g21 d is p l a yo fd n sh i j a c k i n ga t t a c k ( i ) d n s 客户端向首选d n s 服务器发送对于w w wh i te d uc n 的递归解析请求： ( 2 ) 攻击者 | ；【听到请求，井根掘请求i d 向请求者发送虚假应答包，通知与 一 w w w h i t e d u c n 对应的i p 地址为1 2 3 4 ； ( 3 ) 本地d n s 服务器返回正确应答，但由于在时间上晚于监听者的应答，结果 被丢弃； ( 4 ) 攻击完成，客户端对w w w h i t e d u c h 的访问被重定向到1 2 3 4 。 2 i 2d n s 欺骗的检测 如果受到欺骗攻由，那么客户端应该至少收到两个应答包，一个合法应答包， 一个欺骗攻击包。根据这个特点就可以通过一定的方法检测这种攻击。 ( 1 ) 被动监听检测：如果在一定的时间间隔内，一个请求对应两个或两个以 上结果不同的应答包，则怀疑受到了d n s 欺骗攻击，因为d n s 服务器不会给出多 个结果不同的应答包。 这种检测方法不会造成网络的附加流量，但它是一种消极的应对方式，无法 检测潜在的攻击。 ( 2 ) 虚假报文探测：如果向一个非d n s 服务器发送请求包，正常来说不会收 到任何应答，但是由于攻击者不会验证目标i p 是否是合法d n s 服务器，他会继续 实施欺骗攻击，因此若收到了应答包，则说明受到了攻击。 这种方法需要主动发送大量探测包，会增加网络负担。另外d n s 欺骗攻击一 般只欺骗特定的域名，使探测包待解析域名的选择具有很大的不确定性，增加了 探测的难度。 ( 3 ) 交叉检查查询：在客户端收到d n s 应答包之后，向d n s 服务器反向查询应 答包中返回的i p 地址所对应的d n s 名字。如果二者一致说明没有受到攻击，否则 说明被欺骗。 交叉检查查询在被动检测的基础上，对收到的应答包进行主动验证，但是这 种方法需要发送大量的反向查询包，也会使网络负担增加。 2 i 3d n s 欺骗的防范 通过对合法应答包和欺骗应答包的分析发现，欺骗应答包般来说比较简单， 通常只有一个应答域，没有授权域和附加域。 ( 1 ) 加权法：这种方法首先要根据统计分析，给d n s 应答包中的各个字段一 个相应的可信度阈值，然后根据数据包情况计算最终可信度，最后选择可信度最 高的应答包。权值为有符号数，正表示加上相应的值，负则减去。 ( 2 ) 贝叶斯分类法：首先根据统计信息抽取合法包和欺骗包的特征：然后统 计这些特征的概率分布，并由此设计一个简单的两类贝叶斯分类器，来指导欺骗 包和合法包的识别。 加权法和贝叶斯分类法有类似之处，都要基于统计数据的分析。加权法依赖 于权值策略的制定，贝叶斯分类法依赖于数据包关键特征的提取和其概率分布的 统计。 ( 3 ) 交叉检查查询：与d n s 欺骗的检测相同，由客户端收到d n s 应答包之后， 向d n s 服务器反向查询应答包中返回的i p 地址所对应的d n s 名字来进行判断。 2 2i m s 概述 2 2 1i m s 协议概述 l 、会话相关协议 ( 1 ) 会话描述协议( s e s s i o nd e s c r i p t i o np r o t o c o l ，s d p ) s d p 是用来描述多媒体会话的应用层协议，它是一个基于文本的协议，是为 了会话通告、会话邀请和其他形式的多媒体会话启动而描述多媒体会话的过程。 所谓多媒体会话就是多媒体发送者、接受者和从发送者到接收者的数据流的集合。 互联网一般采用松弛方式实现多媒体会话，其主要机制就是通过会话公告( s e s s i o n a n n o u n c e m e n t ) 将会话的地点、时间、媒体和建立等信息告知每一个可能的参与者。 s d p 就是传送这类会话信息的协议。s d p 语法简单易懂，已经被接受作为基于文 本的信令协议中呼叫参数协商的编码方法。它定义了会话描述的统一格式。 ( 2 ) 会话初始化协议( s e s s i o ni n i t i a t i o np r o t o c o l ，s ) s i p 是i e t f 定义的通过i p 网络建立和管理多媒体会话的协议。它是一个基于 i p 网络的实时通信应用信令协议，是下一代网络( n g n ) 中的核心协议之一，用 来解决网上的信令控制，其最终目标是为所有互联网成功的应用提供无所不在 的接入，成为联系互联网和电信、多媒体的媒介。s i p 工作在应用层，可以用来建 立、修改和终止由多方参与的多媒体会话的进程。s i p 是伴随着互联网的发展而兴 起的，它广泛借鉴了其它各种已经存在的互联网协议，基于互联网的两个最成功 的服务w e b 和e m a i l 进行设计的，采用基于文本的编码格式，简单灵活，可扩展性 强。s i p 固有的优势使其在提出后不久就得到了广泛的应用。现在，s i p 已经被3 g p p 工作组定义为i m s 系统的信令协议，以提供口多媒体服务。 2 、丸认协议 i m s 使用的认证授权计费( a u t h e n t i c a t i o na u t h o r i z a t i o na c c o u n t i n g ，a a a ) 协 议是d i a m e t e r 。d i a m e t e r 是远程拨入用户认证服务( r e m o t ea u t h e n t i c a t i o nd i a li n 9 u s e rs e r v i c e ，r a d i u s ) 协议的一种演化，它是一种广泛应用于互联网中完成a a a 功能的协议。最终的d i a m e t e r 协议实际包含2 个部分：d i a m e t e r 基本协议和d i a m e t e r 应用。基本协议被用于传递d i a m e t e r 数据单元、协商能力集、处理错误并提供扩 展性。d i a m e t e r 包含一个有d i a m e t e r 应用作为补充的底层协议。d i a m e t e r 应用是 定制或扩展d i a m e t e r 使其成为适用于某一特定环境的特殊应用。i m s 的许多接口 都使用d i a m e t e r ，虽然并不是所有的接口都采用同样的d i a m e t e r 应用。 3 、其他协议 除了会话相关协议与丸诅协议外，i m s 中还采用了许多其他协议执行不同的 功能。 公共开发策略服务( c o m m o no p e np o l i c ys e r v i c e ，c o p s ) 协议用来在策略决 策点( p a c k e td e c i s i o np o i n t ，p d p ) 和策略执行点( p o l i c ye n f o r c e m e n tp o i n t ，p e p ) 之间传输策略。 信令节点应用h 2 4 8 和它的组建来控制媒体平面上的节点。h 2 4 8 是由i t u t 和i e t f 共同制定的，它也称为媒体网关控制协议( m e d i ag a t e w a yc o n t r o lp r o t o c o l ， m e g a c o ) 。 实时传送协议( r e a l t i m et r a n s p o r tp r o t o c o l ，r t p ) 和r t p 控制协议( r t p c o n t r o lp r o t o c o l ，i 玎c p ) 用于传送音频和视频等实时多媒体。 2 2 2i m s 功能实体 3 g p pi m s 采用层次化的网络结构，分为业务网、核心网和接入网3 层。接入 网支持g p r s 、w l a n 等各种接入技术，提供接入、移动性管理：核心网负责业 务的会话控制，提供q o s 保障和计费管理，与接入网相独立；业务网包含多种业 务提供技术，通过开放的业务接借口和简单的控制协议( s i p ) 促进多媒体业务的 发展。图2 2 描绘了3 g p pr 7 版本基于i m s 的全业务运营网络的参考模型，包括 一个i m s 核心域网络、多种制式的接入网络，和一些电信网络必备的组成单元。 其中主要的功能实体 1 】有： l 、代理呼叫会话控制功能( p r o x y - c a l ls e s s i o nc o n t r o lf u n c t i o n ，p c s c f ) p c s c f 是是用户和i m s 核心网络的第一个接点。它的地址可以被用户设备 ( u s e re q u i p m e n t ，u e ) 通过一种定义好的机制发现。p c s c f 的行为就像一个代 理，它不会修改s i p 请求消息中的统一资源定位符u r i 。它负责验证请求，并将请 求发送到目的地址。 2 、问询呼叫会话控制功能( i n t e r r o g a t i n g c a l ls e s s i o n c o n t r o lf u n c t i o n ，i - c s c f ) 1 0 图2 23 g p p r 7i m s 网络参考模型 f i g 2 23 g p p r 7i m sr e f e r e n c em o d e l i - c s c f 是一个运营商网络和其下属网络运营商间的接点。负责从h s s 获得下 一跳的名称( s - c s c f 或应用服务器) ，提供网间网关拓扑隐藏( t o p o l o g yh i d i n g i n t e r - n e t w o r kg a t e w a y ，t h i g ) 功能，并产生相关计费数据。 3 、服务呼叫会话控制功能( s e r v i n g c a l ls e s s i o nc o n t r o lf u n c t i o n ，s c s c f ) s c s c f 主要完成用户的认证、注册、业务授权、业务触发、业务路由、计费 等功能。s c